IE:un MHT per rubare i file dal PC
Microsoft non chiude la falla e un ricercatore rende noto come sottrarre file da un PC sfruttando una vulnerabilità 0-day di Internet Explorer.Per chi non ne fosse a conoscenza, si tratta di un formato ormai pressoché caduto in disuso, un tempo impiegato per salvare nel disco fisso una pagina Web e i contenuti ad essa correlati con un semplice Ctrl+S, oggi sostituito da HTML. Una vulnerabilità 0-day (XML eXternal Entity) permette a un malintenzionato di far leva su un comportamento non previsto del software e mettere le mani nel sistema di un malcapitato utente sottraendogli file o documenti, sfruttando il modo in cui IE gestisce i comandi Duplica Scheda (Ctrl+K), Anteprima di Stampa e Stampa.Tutto questo da remoto e senza alcun tipo di segnale o avviso a manifestare il pericolo. Di seguito un filmato che dimostra l’efficacia dell’attacco, mentre chi desidera approfondire la questione può farlo consultando un documento condiviso dal ricercatore John Page, che ha deciso di rendere nota la questione dopo aver chiesto il 27 marzo a Microsoft di risolvere il problema, ricevendo però in risposta un secco no, poiché non ritenuto una priorità. Questa la replica del gruppo di Redmond.